附錄 C:範例執行手冊
以下範例執行手冊代表大型執行手冊的單一項目。本執行手冊不是官方的,僅供範例參考。 製作執行手冊時,每個場景都有可能演變成更大的項目,這些項目具有不同的起點和危害指標,但都有相似的結果或需要採取的動作。意識到這種變化還可能開啟其他情況,進而做出更好或更有洞察力的反應。
事件回應執行手冊 – 根用途
目標
本執行手冊的目標是提供如何管理根 AWS 帳戶使用情況的具體指導。本執行手冊不能替代深入的事件回應策略。本執行手冊重點介紹 IR 生命週期:
-
建立控制。
-
判斷影響。
-
根據需要加以復原。
-
調查根本原因。
-
改善。
下面列出危害指標 (IOC)、初始步驟 (停止危害) 以及執行這些步驟所需的詳細 CLI 命令。
前提
-
已設定並安裝 CLI。
-
報告程序已就緒。
-
Trusted Advisor 處於作用中狀態。
-
Security Hub 處於作用中狀態。
危害指標
-
帳戶有異常活動。
-
建立 IAM 使用者。
-
CloudTrail 關閉。
-
Cloudwatch 關閉。
-
SNS 暫停。
-
Step Functions 暫停。
-
-
啟動新的 AMI 或意外的 AMI。
-
變更帳戶上的聯絡人。
修復步驟 – 建立控制
針對可能遭到入侵帳戶的 AWS 文件列出以下的特定任務。可能遭到入侵帳戶的相關文件可以在以下網址找到:如果我發現自己的 AWS 帳戶中有未經授權的活動,我該怎麼辦?
-
盡快聯絡 AWS 支援 和 TAM。
-
變更和輪換根密碼,並新增與根關聯的 MFA 裝置。
-
輪換密碼、存取/私有金鑰以及修復步驟相關的 CLI 命令。
-
檢閱根使用者採取的動作。
-
開啟這些動作的執行手冊。
-
關閉事件。
-
檢閱事件並了解發生了什麼事。
-
修正根本問題、實施改進,並根據需要更新執行手冊。
進一步動作項目 – 判斷影響
檢閱建立的項目和變動呼叫。可能有些項目已經建立,以允許未來存取。需要查看的一些項目為:
-
IAM 跨帳戶角色。
-
IAM 使用者。
-
S3 儲存貯體。
-
EC2 執行個體。
-
[由您的應用程式和基礎設施推動此清單。]
